Главная
страница 1страница 2страница 3
WINDOWS SERVER 2003,2008,2008R2
Выпущено 2 версии Windows Server 2008 и Windows Server 2008R2 (2010г.).

Windows Server 2008 выпускается в 4-х редакциях (editions).



  1. Standard (4 процессора, не потдерживает кластеризацию).

  2. Enterprise (8 процессоров, 4 узла в кластере).

  3. Data center (16 процессоров, 8-16 узлов в кластере).

  4. Web (2 процессора, не потдерживает кластеризацию).

Основное отличае между первыми 3-мя редикциями, потдерживаемое аппаратное обеспечение.

Редакция Web отличается от всех остальных, в ней урезана функциональность, например нет службы Active Derectory, Hypper-V). Операционная система каждой редакции может быть установлена в 2-х вариантах:


  1. Полная установка.

  2. Установка Core (при этом не устанавливается GUI (администрирование проводится в командной строке)).Однако графическое ядро все равно стартует , для обеспечения возможности запуска накоторых административных утилит.



Службы каталогов Active Directory (AD)
Служба каталогов эхто база данных, хранящая все системные объекты предприятия и их атрибуты (Пользователи,Компьютеры,Группы,Принтеры,Разделяемые папки(Шары) ,Групповые политики) и набор сервисов, предоставляющих доступ к этой базе даных и обслуживание базы.В состав AD входит 5 служб:


  1. AD DS (Active Directory Directory Services) – Службы с помощью которой организована работа базы данных.

  2. AD CS (Active Directory Certification Services) – Отвечает за выфдачу сертификатов.

  3. AD LDS (Active Directory Lightweight Directory Services) – Обеспечивает работу дополнительных экземпляров баз данных служб каталогов. Это необходимо для работы некоторых приложений.

  4. AD RMS (Active Directory Rights Management Services) – Службы управления правами пользователей.

  5. AD FS (Active Directory Federations Services) – Позволяет настроить доверительные отношения, между двумя организациями.

Терминалогия Active Directory



  1. Домен - Это логическое объеденение объектов, имеющих одну общую базуслужбы каталогов, возможно размещенную на нескольких (коппьютерах) контроллерах.

  2. Контроллер домена - это сервер на котором распологается, база службы каталогов домена, а так же запущенные службы позволяющие получить доступ к этой базе. Для доступа к базе используется протокол LDAP (389) и LDAPS (636).Контроллеров доменя отвечающих за один и тотже домен может быть несколько, в этом случае между ними выполняется репликация базы данных.

  3. База AD — представляет собой древовидную структуру катологов в которых хранятся объекты.Каталоги имеют название Organizational Unit или орканизационное подразделение (OUшка) .


Структура базы LDAP
X.500


dc=mmm,dc=local



ou=users,dc=mmm,dc=local

ou=sales,ou=users,dc=mmm,dc=local







cn=ivan,ou=sales,ou=users,dc=mmm,dc=local
LDAP distinguished name.

Дерево (Tree) — это структур дменових общее пространство имен.



mmm.local

tree root domain

дерево


makeevka.mmm.local
donetsk.mmm.local
Less Forest представляет собой совокупность деревьев AD – леса с несколькими деревьями используются в крупных корпорациях в состав которых входят компании.
Detek.local tree root domain forest root domain tree root domain tt.detek.local vostok.local

wind.local tree root domain

sales.vostok.local

Структуры наименования доменов хранятся в DNS , в DNS так же хранятся указывающие записи позволяющие клиентам находить контроллеры доменов.

Без DNS, AD не функционирует !

DNS и службы AD обычно запускают на одном компьютере, но это не обязателно.


После установки AD на контролере удаляются все локальные пользователи и группы, все обьекты могут создаваться только в базе AD. По умолчанию в базе AD создаются следующие организационные подразделения:



  1. Builtin – группы предоставляющие права на сами контролеры домена

  2. Computers – в этот контейнер попадают учетные записи всех комютеров присоединяемых в домен, но оставлять их там не желательно по причине неудобства администрирования

  3. Domain Controllers – В этом контролере хранятся все учетные записи комютеров выполняющих функции контролеров домена

  4. Users – В этом контейнере хранятся группы предоставляющие права на все компютеры домена, или на доступ к определенным службам.


Внутреняя структура базы AD
База AD по умолчанию разбита на 3 раздела (Partitions):

  1. Domain Partition – хранит все основные обьекты домена (пользователи, группы, папки, компютеры и т.д.)

  2. Configuration Partition – Этот раздел хранит настройки AD

  3. Schema Partition – В этом разделе хрнится схема AD, это набор классов обьектов и соответствующих этим классам атрибутов, классы обьектов определяют какие обьекты можно создавать в базе, атрибуты определяют свойства этх обьектов


Работа с учетными записями пользователей


  1. Заполнение атрибутов учетной записи, атрибуты могут быть информационными и управляющими

  2. Отключение учетной записи

  3. Разблокировка учетной записи – выполняется если учетная запись была заблокирована после ввода определенного количества неверных паролей

  4. Сброс пароля пользователя , обычно при сбросе назнаается новый временный пароль который должен быт ьсменен пользователем при следующем входе в систему

  5. Копирование учетных записей – применяется для создания учетных записей по шаблону

  6. Перемещение учетных записей – учетные записи внутри домена перемещаютсякомандой «пепреместить», между доменами или между лесами с помощью инструмента ADMT (Active Directory Migration Tool)

Управление группами

Группы AD разбиты на 2 категории:



  1. Security (Безопасность) — Могут использоваться для раздачи разрешений на ресурсы, но могут так же применяться и для рассылки почтовых сообщений

  2. Distribution (Распространение) — Могут использоваться только почтовыми приложениями, использовать их дляраздачи прав и разрешений на ресурсы нельзя(Группы рассылки).

По области действия группы можно разбить на 3 категории:

  1. Global(глобальная) – Используются для обьединения учетных записей по определенному признаку(например отдел, офис и т.п). Глобльные группы видны из любого домена леса, но включать в них можно пользователей только своего домена

  2. Domain Local(Локальная в домене) – Используются для назначения разрешений на ресурсы. Доменные локальыне группы не видны из других доменов. В доменно локальные группы обычно включатся не локальные пользователи а глобальные группы пользователей, такая стратегия называется A-G-DL-P

  3. Universal(Униерсальная) – Универсальные группы в них можно включать обьекты из любых доменов и видны они из любого домена, кромеэтого челнство в универсальных группах хранится не в базе домена а в базе глобального каталога.

В глобальном каталоге кроме членства в универсальных группах так же хранится информация о некоторых атрибутах учетных записей(имя, фамилия, организация, должность и т.п). Эта информация может использоваться для поиска информации по всему лесу, по умолчанию глобальный аталог хранится на первом контролере домена в лесу. С помощью изменения схемы AD можно указать какие атрибуты будут реплецироваться на сервера глобального каталога

Примр использованияуниверсальных групп



G IT Donetsk

U All-IT-Admins



DL Tools Read

Папка Tools

G IT Makeevka G IT Enakievo

  1. Local(Локальные) — Локальыне группы храняться не в домене а в базах локальных компютеров,но в них можно включать учетные записи и Глобальные группы домен

  2. System(Системные группы) - Существуют на уровне OS , тоесть не храняться не в базе AD не в базе локальных компютеров, членство в группах изменить нельзя, оно меняется автоматически.

Примеры системных групп

  1. Все → Включает в себя всех кользователей как локальных так и доменных

  2. Сеть → В эту группу автоматчиески попадают все кто подключается к компютеру по сети

  3. Интерактивные → В эту группу автоматически попадают все кто работает с компютером локально

  4. Прошедшие проверку → Все подключения за исключением гостевых

Members

Scope

Member of

A(Домена),G(Домена)

Global

G Домена, DL,U,

A,DL(Домена),G,U

Domain Local

DL (Домена)

A,G,U

Universal

U,DL

A,G(Домена),U

Local

-------


Создание новой группы

dsadd group "cn=IT специалисты,ou=IT,ou=Сотрудники,ou=Донецк,dc=corp9,dc=local" -SAMID "IT специалисты" -secgrp yes -scope g
Получение информации о членах группы

dsget group "cn=G все менеджеры,ou=сотрудники,ou=Донецк,dc=corp9,dc=local" -members
Получение информации о всех обьектах данной группы

dsget group "cn=G все менеджеры,ou=сотрудники,ou=Донецк,dc=corp9,dc=local" -members -expand
Область действия группы можно изменить:

  1. GU(Невозможно сделать если глобальная группа включена в другую глобальную)

  2. UG (Невозможно преобразовать если в унивенрсальной группе есть другие универсальные группы)

  3. DL → U(Невозможно преобразовать если доменно локальная содержит другие доменно локлаьыне группы)

  4. UDL(Невозможно преобразовать если универсальная групв входит в другую универсальную)

  5. GDL (Возможно только через промежуточное преобразования в универсальную группу)

  6. DLG (Возможно только через промежуточное преобразования в универсальную группу)


После инсталяции AD в базе создается набор групп по умолчанию:

  1. Builtin → Доменные локальные группы предоставляющтие права на контролер домена

  2. Users → Глобальыне и универсальные группы предоставляющие права на уровне всего домена или даже леса. Кроме этого при установке определенных служб в контейнере Users могут появляться новые группы предоставляющие разрешения на доступ к этим службам


Группы контейнера Builtin:

  1. Администраторы → Предоставляет полный доступ на все контролеры отвечающие за текущий домен

  2. Операторы сервера → Предоставляет примерно те же права что и группа опытные пользователи (например создание резервных копий, создание сетевых папок и т.п.)

  3. Пользователи удаленного рабочего стола → Дает право подключения к системе с помощью службы терминалов

  4. Операторы архива → Уравление резервными копиями

  5. Операторы печати → Управление принтерами

  6. Операторы учета → Работа с учетными записями в базе AD

  7. Операторы настройки сети → Могут менять настройки сетевых интерфейсов



Следует всегда по возможности использовать группы по умолчанию, если ниодна из этих групп недает требуемых для пользователя прав нужно создать новую группу, и закрепить за ней желаемые права с помощью политики безопасности
Группы контейнера Users:

  1. Пользователи домена → В эту группу включены все пользователи которые создаются в домене

  2. Компютеры домена → В эту группу автоматически включаются учетные записи компютеров присоединяемых к домену

  3. Контролеры домена → В эту группу автоматически включены все контролеры текущего домена

  4. Администраторы домена → Предоставляет административные права на все компютеры и контролеры домена

  5. Администраторы схемы → Члены этой группы имеют право изменять схему AD

  6. Администраторы предприятия → Члены этой группы имеют права на все компютеры в лесу

  7. Серверы RAS и IAS → В эту группу должны быт ьвключены учетные записи компютеров выполняющих функции серверов удаленного доступа и RADIUS серверов

  8. DNSAdmins → Члены этой группы имеют полные права на администрирование DNS сервера


Группе можно назначить менеджера, это не привелегированый пользователь имеющий право менять членство в конкретной гурппе.
Установка прав и разрешений


  1. Право → Дает возможность выполнять определенное действие с системой. Права определяются с помощью локальной или груповой политики.

  2. Разрешение → Дает возможность выпонять определенные действия с обьектами(папки, файлы, принетры и т.п.). Разрешения определяются в свойствах обьектов(Вкладка безопасность)


Разрешения NTFS
В современных системах Windows как правило используется файловая система NTFS. Ее преймущества по сравнению с FAT:

  1. Отказоустойчивость благодаря ведению журнала файловых операций

  2. Возможность установки разрешений на папки и файлы

  3. Увеличеный размер файла и размер раздела (в фат раздел 4 ТБ фаил 4 ГБ)

  4. Встроеное сжатие данных которое может быть включено на уровне всего раздела или на уровне файла или папки.

  5. Встроеное шифрование данных.

  6. Возможность установки дисковых квот



Список разрешений NTFS:

  1. Список содержимого папки → Дает возможность просматриват содержимое каталога, разрешений на файлы в каталоге не дает.

  2. Чтение → Чтение устанавливается на папку для того то бы обеспечить просмотр содержимого каждого файла в папке.

  3. Чтение и выполнение → дает возможность не только просмотра содежимого но и запуск исполняемых файлов.

  4. Запись → Если установлено на папку дает возможность создания новых обьектов. Если установлено на фаил дает возможность менять содержимое файла.

  5. Изменить → Включает в себя ве вышеперечисленые разрешения + возможность удаления обьектов

  6. Полный доступ → Дает возможность выполнения всех вышеуказаных операций + дает возможность изменять разрешения и становиться владельцем обьекта


Правила установки разрешений:

  1. Если пользователю явно не разрешено определенное действие оно будет запрещено(не явное запрещение).

  2. Разрещения NTFS являются кумулятивными, последвоательно проверяются все записи в списке доступа и собираются все разрешения с подходящих записей

  3. Явные запрещения имеют приоритет над явлными разрешениями.

  4. Вышеперечисленые разрешения являются стандартными, каждое из них представляет собой наборболее мелких разрешений позволяющих более тонко управлять действиями пользователя.

  5. Наследование → это применения разрешений к дочернему обьекту от родительского.

  6. Наследованеие разрешений можно прервать при этом можно скопировать или удалить наследованое разрешение

  7. Наследованые разрешенияможно перекрыть разрешениями которые явно назначаются обьектам причем это справедливо и для разрешений и для запрещений.

  8. Если фаил перемещается или копируется в другую папку он наследует разрешения новой папки и теряет разрешения старой папки. За исключением случая перемещаения файла внутри раздела. В этом случае фаил сохраняет все свои разрешения

  1. Можно управлять наследованием, распространяя его только на объекты определенного типа..

  2. Пользователь создающий объект является его владельцем, владелец у объектов может быть только один. Владелец объекта имеет на объект имеет полный доступ не зависимо от разрешений. Член групы администраторров может стать владельцем любоо объекта в отличае от обычного пользователя.



Управление разделяемыми папками
К любой папке можно предоставить общий доступ оп сети, при этом можно задать разрешения для сетевого доступа. Дуступны 3 группы разрешений.

  1. Чтение

  2. Изменение

  3. Полный доступ

При подключении к папке по сети, система учитывает как NTFS разрешения так и разрешения разделяемой папки, при чем, выбираются разрешения наиболее ограничивающие действия пользователя.После установки системы, автоматически создаются следующие сетевыые ресурсы:



  1. С$,D$.... - для кажного дискового раздела.

  2. ADMIN$ - Это доступ к каталогу %SYSTEMROOT% (C:\Windows)

  3. IPC$ - использоутся для отображения сетевых папок компьютера, но на прямую к нему подключится нельза.

  4. print$ - ресурс создается после предоставления в общее пользование хотябы одного принтера. (C:\Windows\system32\spool\drivers) – на этом рескурсе хранятся драйвера установленых принтеров, для установки на локальных машинах.

На контроллерах домена создаются дополнительные разделяемые папки.



  1. SYSVOL – (C:\Windows\SYSVOL\sysvol\) - в этом каталоге размещаются групповые политики.

  2. NETLOGON – (C:\Windows\SYSVOL\sysvol\corp10.local\scripts) – это каталог со скриптами, которые будут выполнятся для определенных пользователей.

Любую разделяемую папку можно опубликовать в базе AD и приявязать к этуму объекту ключевые слова, для облегчения поиска.



Можно управлять сетевыми папками из командной строки.

net share -управление сетевыми папками.

net use – подключение к сетевым папкам и создание сетевых дисков (а так же закрытия активных подключений).
Контролер домена кроме своих основных функций может выполнять дополнительные операции в таком случае его называют хозяином этих операций(Operations Master) Существует 5 ролей хозяина операций.

  1. Хозяин схемы — является единственным для всего леса, он обрабатывает любые изменения связанные со схемой а затем распространяет эти изменения всем остальным контролерам. Если хозяин схемы не доступен то невозможно внести изменения в схему AD. Перенос роли выполняется с помощью онастки схема AD

  2. Хозяин именования доменов — является единственным для всего леса. Этот хозяин обрабатывает любые операции связанные с удалением и добавленим доменов, а затем распространяет эти изменения на все остальыне контролеры. При отсутствии хозяина будут невозможны операции удаления или добавления доменов. Для переноса роли используется оснастка домены и доверия

следующая страница >>
Смотрите также:
Windows server 2003,2008,2008R2 Выпущено 2 версии Windows Server 2008R2
424.11kb.
3 стр.
10 преимуществ обновления до версии Windows Server 2008 R2
78.95kb.
1 стр.
Установка и настройка Windows Server 2003. Служба каталогов Active Directory. Установка и настройка Windows Server 2003
80.27kb.
1 стр.
Вопросы и ответы по Windows Server 2008 R2 Hyper-v новые возможности Windows Server 2008 R2 Hyper-V
97.97kb.
1 стр.
Дистанционный курс «Администрирование Windows Server 2003»
26.11kb.
1 стр.
Компьютерные сети. Администрирование ит-инфраструктуры на базе Windows Server 2008
63.04kb.
1 стр.
Библиотечный модуль печати налоговых документов с двухмерным штриховым кодом pdf417 Версия 9
34.17kb.
1 стр.
Руководство по установке и настройке клиентских модулей у пользователя
245.49kb.
1 стр.
Руководство по решению распределенных файловых систем в ос windows Server 2003 R2 Корпорация Майкрософт
537.72kb.
4 стр.
Конфигурирование, управление и обслуживание серверов Windows Server 2008
16.29kb.
1 стр.
«it pro advanced Windows Professional» (Расширенное администрирование Windows Server 2008 R2)
96.8kb.
1 стр.
Вопросы к экзамену Семейство Windows Server 2003. Редакции Windows Server 2003
29.52kb.
1 стр.